Hotmail e Google Mail, perché le password sotto tiro

Un'immagine del Security Awareness Contest, promosso in USA dalla Southern Methodist University

Roma – Nei giorni scorsi si è molto discusso in Rete sulle 10mila password di Hotmail «rubate» e rese pubbliche e si è attirata l’opinione pubblica sulla medesima possibilità contro Google Mail. In realtà, anziché limitarsi a riferire dei misfatti, ciò su cui occorre concentrarsi non sono né Google, né Hotmail bensì la sicurezza dal punto di vista dell’utente.

Il trend delle ricerche che Google stesso evidenzia nell’arco di un mese non fa che confermare come l’utenza in generale adotti prima comportamenti negligenti, per poi ululare al momento di un attacco riuscito e piazzarsi alla continua e costante ricerca di novità su quegli episodi che, in alcuni casi, hanno centrato l’obbiettivo.

Che la password sia uno strumento di protezione ormai abbastanza vetusto non v’è alcun dubbio: ma la costante, caparbia e superficiale negligenza – e quel che è peggio reiterata nel tempo – da parte degli utenti di certo non la aiuta a vivere, quanto meno, una serena vecchiaia.

Fa specie apprendere, ancora oggi, che esistano persone la cui intelligenza sia talmente cristallizzata da insistere ad utilizzare password come “aaaaaa”, “123456″, “italia” e chi più ne ha più ne metta. È ovvio che poi l’argomento si ritrova nei titoli dei principali siti, che in alcuni casi, però, per seguire delle (disoneste, in questo caso) linee guida SEO, senza tanti scrupoli “girano” la notizia, titolando e argomentando in modo diverso da come sarebbe costruttivo fare per i lettori, impiegando titoli e ossature d’articolo capovolte, perché così si impiegano termini più rilevanti nei titoli e si ottiene maggior presenza nelle pagine dei risultati dei motori di ricerca.

Si tratta di una pratica diffusissima e scorrettissima, che strumentalizza gli episodi accaduti a vantaggio dei siti che estendono la notizia e non fa altro che alimentare ulteriormente il timore, insufflare lo stato d’ansia e creare, insomma, una morbosa curiosità di saperne di più, invece di offrire la propria mano e accompagnare il lettore che, in quel momento, si sente perso e disorientato.

È vero: di raccomandazioni per la scelta e l’impiego di password che abbiano un minimo di efficienza degna di questo nome nel loro obbiettivo di protezione si è parlato talmente tante volte che i maggiori esperti si sono anche stancati di ripetersi. Ma le generazioni cambiano, i lettori meno giovani passano ad altro nella propria vita, ma nel frattempo arrivano quelli più giovani, per i quali l’argomento è nuovo.

Per esempio, sul punto, chi ha pensato di andare a cercare la parola “password” così, secca, su Wikipedia? Pochi. Eppure è già un ottimo punto per cominciare. “Nel determinare una password è sconsigliabile l’uso di parole ovvie (come il proprio nome o cognome o altri dati anagrafici), di senso compiuto o direttamente associabili all’account (come il nome utente stesso) come anche di parole troppo brevi (di solito per le password viene stabilito un numero minimo di caratteri dal momento che all’aumentare del numero di caratteri aumenta esponenzialmente il numero delle disposizioni possibili)”. Questo il primo punto con cui Wikipedia apre la sezione Norme elementari di sicurezza dell’argomento Password.

Continuando la lettura, si scoprirà – anche con i pochi, semplici e immediati concetti esposti su Wikipedia – che il proprio punto di vista su coloro che hanno reso la vita facile ai cracker dell’ultim’ora è cambiato: si comprenderà che non sono stati i cracker ad esser bravi, ma i detentori e utilizzatori di quelle password ad esser sciocchi. Qualcuno più intraprendente potrebbe addirittura mutare del tutto punto di vista, concludendo che “quasi quasi hanno fatto bene: quelle password erano davvero troppo facili da indovinare”.

Dunque, ancora una volta, lo strumento password non va preso sottogamba. La colpa non è stata di Hotmail né di Google o, almeno, non solo: le password sono state sotto tiro solo perché i cracker hanno quasi la certezza matematica della negligenza altrui. Per rimuovere questa certezza non c’è che un mezzo: queste benedette regole sulle password bisogna seguirle, una volta per tutte.

Altrimenti, poi, vietato lamentarsi.

Marco Valerio Principato